Copia de seguridad y restauracin IIPosted on09/01/2012Habilitar
las instantneasLas instantneas nos ayudan a proteger los datos de
recursos compartidos y Unidades de nuestro Windows Server 2008 R2.
Las instantneas son copias de seguridad en un instante temporal. Se
encuentran habilitadas a nivel de volumen. Lo que significa que
cuando las activamos en un volumen se protegen todos los recursos
compartidos residentes en el mismo. Y aunque no podemos seleccionar
recursos de manera individual, s seremos capaces de recuperar
informacin individualmente si fuese necesario ya qu el volumen est
protegido.Cuando se crea una instantnea de un archivo slo se
almacenan los cambios incrementales. As que el espacio de
almacenamiento necesario en la red est basado en cuntos archivos y
la cantidad de cambios que se les hace. Las copias creadas se
almacenan en el mismo volumen en la que estn los datos. Podemos
mover las instantneas a otro volumen para ayudar en el rendimiento
de las mismas y de los propios vlumenes. Antes de habilitar las
instantneas, debemos tambin tener en cuenta qu slo podemos tener 64
copias en el volumen al mismo tiempo. Esto tendr un impacto en la
programacin que se escoga como adecuada, que es de lunes a viernes
y entre las 7 y las 12 de forma predeterminada. Las instantneas se
ejecutan por el VSS (Volume Shadow Copy Service). En cuanto las
habilitamos se crea un espacio de 100MB de copia de seguridad de
forma automtica. Adems, el mximo tamao por defecto usado por las
copias se establece en un 10% del total del espacio del volumen. Lo
cual significa que si nos acercamos al lmite de espacio el VSS
comenzar el borrado de versiones anteriores de las
instantneas.Permitiendo a tus usuarios trabajar rpidamente con
estos vlumenes te ahorrar tener que usar medios de recuperacin para
restaurar datos perdidos. Sin embargo, las instantneas no son un
sustituto de una implementacin de copia de seguridad y recuperacin
necesaria, sino ms bien un complemento til.Para habilitar las
instantneas: Herramientas administrativas Administracin de
equipos
Clic derecho en las carpetas compartidas y en Todas las tareas,
configurar Instantneas.
Posted inWindows 2008 R2,Windows ServerCopia de seguridad y
Restauracin.Posted on23/12/2011Los accidentes ocurren. Hay multitud
de escenarios en los que los datos se pueden perder, borrar,
infectar o corromper, ya sea porque un usuario borre
accidentalmente un archivo del disco, falle un disco duro o falle
el propio sistema operativo. Tambin podemos pensar que la
naturaleza a veces nos aguarda con tristes desastres.Ha llegado la
hora de saber cmo resguardar esos datos y poder recuperarlos
posteriormente.Entender la terminologa: Copia de seguridad y
Recuperacin.Al trabajar con estas tecnologas en Windows Server 2008
R2 o en un entorno Windows, necesitamos aprender el argot utilizado
por el propio Sistema.Copia de seguridad normal o completa: Las
copias de seguridad normales o completas son las ms lentas en
terminar el proceso de copia. El tiempo vendr determinado por la
cantidad de datos. Aunque, si podemos hacerla cada noche y fuera de
horario de trabajo sera el camino ideal para la proteccin del
sistema. Es la opcin predeterminada de Windows Server Backup.Copia
de seguridad incremental: Las copias de seguridad incrementales son
las ms rpidas en realizar el proceso de copia, ya que ste tipo
sigue slo los cambios en los datos desde la ltima copia, de
cualquier tipo. Este tipo determina tambin el cmo trabajar t
proceso de recuperacin. Cuando quieras recuperar datos, primero
necesitars restaurar la ltima copia de seguridad normal, seguida de
todas las copias incrementales en orden. Este mtodo produce tambin
un impacto en el rendimiento de los servidores.Estado del sistema:
Estado del sistema contiene la mayor parte de la informacin de
configuracin del sistema. No toda la necesaria, as que debemos
utilizarla junto a una copia de seguridad normal. Los Roles que
estn instalados determinarn la copia del estado del sistema
tambin.Copia desde-cero (Bare-metal): Este tipo de copia nos
permite recuperar un servidor desde una imagen creada previamente
(y sin tener que instalar un sistema antes). Esto nos permite la
recuperacin de un servidor que de otra manera y debido a errores
que una copia de seguridad normal no puede arreglar, sera
inoperable. Digamos que esta recuperacin es uno de los ltimos
cartuchos de recuperacin de un sistema roto.Instantneas (Shadow
copy): Una copia hecha en un momento concreto de datos que
normalmente estn compartidos. Proporciona a los usuarios un mtodo
self-service de recuperacin de archivos que hayan sido borrados o
sobreescritos accidentalmente.Servicio de instantneas de volumen
(VSS): Servicio maestro dentro de Windows Server 2008 R2 que dirige
la mayor parte de la infraestructura de copias de seguridad.
Proporciona la capacidad de crear instantneas.Las herramientasTres
son las que nos permiten acceder al juego de aplicaciones de copia
de seguridad y recuperacin en Windows Server 2008 R2. Tenemos
aWindows Server Backup, una herramienta totalmente funcional con
interfaz awbadmin.exe, una herramienta en smbolo del sistema, y
finalmente nuestro queridoPowerShell, con el que podemos llevar a
cabo estas tareas.Asegremonos que tenemos las herramientas en
nuestro servidor. De hecho la caracterstica no est instalada de
forma predeterminada, con lo cual si intentamos ejecutarla
recibiremos un mensajito similar a:
As que hemos de instalarla por nuestra cuenta.Desde el
administrador del servidor elegimos caractersticas, del panel
agregar caractersticas.
Bajamos hasta Caractersticas de copias de seguridad de Windows
Server.
Puede que al marcar cualquiera de las dos opciones se nos
solicite agregar, pincharemos en el botn de Agregar caractersticas
requeridas.
Pinchamos en siguiente y seguimos el asistente.
Ahora ya si tenemos la posibilidad de ejecutar la herramienta
grfica:
Posted inHerramientas,Windows 2008 R2PowerShell y las GPOPosted
on21/12/2011Con Active Directory desplegado en nuestra entorno
deberamos ser capaces de controlar la seguridad, administracin y el
acceso a los recursos desde una ubicacin centralizada. Y adems
administrar y controlar los escritorios!Cmo hemos ido viendo en
multitud de ocasiones, AD tiene una herramienta Group Policy
(Directiva de grupo), para centralizar los escritorios. Con ella
podemos administrar virtualmente todo en los sistemas de nuestro
entorno, desde el fondo del escritorio hasta qu aplicaciones pueden
ejecutarse. Incluyendo no slo los escritorios cliente sino tambin
los servidores.Directiva de grupo nos permite obligar el
cumplimiento de nuestras polticas, implementar cualquier
configuracin de seguridad que queramos e, implementar un entorno
estndar a travs de todo el Directorio Activo.Con un entorno estndar
proporcionamos una base consistente y adems aligerar las llamadas
de soporte al departamento. Antes de ver como podemos trabajar con
Poweshell y GP, repasemos algunas cuestiones bsicas:Conocer
sobre:DESCRIPCIN
GPMCConsola administracin DirectivasInterfaz principal, aqu
creamos los GPOs. Definimos a qu se aplicarn los enlaces creados.
Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.
GPOObjeto de Directiva de GrupoObjeto que contiene la
configuracin que queremos aplicar a usuarios y/o equipos. Se
enlazan a OUs.
Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno
AD al qu queremos que se le aplique. Conocido como mbito o alcance:
Sites, Dominios y OUs.
ArchivoADMXArchivo de plantilla administrativa, define la
ubicacin de la configuracin y valores en el sistema local, y crea
el interfaz que usamos para modificar dicha configuracin/valores
desde el Editor de Directivas de grupo, que no es ms que un GUI de
administracin de las mismas.
Preferenciasde Directiva de GrupoProporciona alternativas para
trabajar con imgenes en toda la organizacin y as administrar
configuraciones que no son fciles desde la Directiva de Grupo. Esta
configuracin, inicialmente establecida por el administrador,
refleja un estado del sistema predeterminado y que no es
obligatorio.
RSoPConjunto de configuraciones de directiva aplicadas despus
del completo proceso de las mismas. Puede ser una combinacin de
muchos niveles de Directivas.
En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El
mbito ms grande es el SITE y aqu se ven afectados todos los
dominios y objetos que contenga.En el DOMINIO se vern afectados
todos los objetos contenidos en l.En las OU, todos los objetos que
contengan, as como los sucesivos anidamientos de OUs y sus
objetos.El uso de unos u otros se determina por las necesidades, si
bien hay algunas recomendaciones al efecto:Configuracin de
seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de
valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en
las OU, es lo que ms recomiendan, proporcionan facilidad de
administracin y localizacin de nuestras Directivas.Administrar las
Directivas de GrupoComo otras herramientas, powershell ha dedicado
un mdulo para almacenar los cmdlets que podemos usar en la
administracin de Directivas de Grupo. ste mdulo no est disponible
en todos los sistemas en los que Powershell est instalado. Slo se
encuentra en DCs, servidores miembros con GPMC instalada o Windows
7 con RSAT instaladas.Para importar el mdulo usamos el
comando:Import-Module grouppolicyAunque si lo intentamos en un
equipo que no cumpla los requisitos recibiremos un mensajito
Pero sigamos en uno que s,
Una vez importado podemos listar los cmdlets
disponibles,Get-Command module grouppolicy
El comandoGet-GPO Allnos permite ver las GPO del
dominio.Establece un valor de Preferencia. Igual que el anterior,
hay que conocer la ubicacin en el Registro.CmdletQu hace:
Get-GPOLista las GPO en el Dominio, podemos listar una
especficamente o todas.
New-GPOCrea una nueva GPO en el dominio.
New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en
el dominio.
Set-GPRegistryValueEstablece un valor de directiva. Para que
este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de
la misma en el Registro.
Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay
que conocer la ubicacin en el Registro.
Ejemplos: Get-GPO All
Podemos ver la configuracin de una en particular, por ejemplo
listamos las que hay en SySVol
Y con su GUID
Y con su nombre
Posted inDirectivas,Powershell,Scripting,Windows 2008
R2Carpetas: seguridad, acceso y replicacin IVPosted
on12/12/2011Crear y configurar un DFS NamespaceDespus de la
instalacin del role DFS podemos comenzar el proceso de creacin del
espacio de nombres DFS y configurar la raz DFS.1. Abrimos el
administrador del servidor2. Expandimos Roles3. Expandimos
servicios de archivo4. Seleccionamos el elemento Administracin
DFS5. Clic derecho, Nuevo espacio de nombres
6. Escribimos el nombre del servidor o lo buscamos mediante
Examinar.
7. Siguiente8. Le damos nombre al espacio de nombres. (es el que
vern los usuarios)
9. Podemos editar la configuracin, sino Siguiente
10. Ahora se nos pregunta el tipo de espacio de nombres, basado
en dominio (que es el que voy a seguir haciendo) o
independiente.
11. Un resumen de todo lo elegido antes de darle el s final.
12. Creacin del espacio de nombres.
13. Ahora ya tenemos la raz DFS.
14. Desde aqu, con clic derecho sobre esta raz aadiremos las
carpetas y sus rutas correspondientes.
Posted inWindows 2008 R2,Windows ServerCarpetas: seguridad,
acceso y replicacin IIIPosted on30/11/2011Si queremos colocar datos
accesibles tenemos varias opciones, como las carpetas compartidas y
usar archivos fuera de lnea. Si adems queremos extender la
disponibilidad de nuestros archivos y carpetas, deberamos
considerar tener ms de un servidor de almacene dichos datos de
forma que se copien y repliquen entre ellos. Con ello ganamos en
consistencia, disponibilidad y rapidez de acceso desde sitios
remotos. La replicacin se configura mediante espacios de nombres
DFS o Sistema Distribuido de Ficheros. Estos namespaces nos
permiten agrupar carpetas compartidas diseminadas en distintos
servidores y conectar de forma transparente mediante uno o ms de
estos espacios de nombres. Un namespace es una vista virtual de
carpetas compartidas en una red. Cuando creamos un namespace,
seleccionamos qu carpetas compartidas se aaden, diseamos la
jerarqua en la que aparecern y, le ponemos los nombres con las que
aparecern en el namespace. Un usuario al acceder al namespace ver
las carpetas como si residieran en un nico disco, y navegarn entre
ellas sin necesitar conocer los nombres de servidor o carpetas de
datos.La ruta de un namespace es similar a la convencin UNC para
carpetas compartidas, \servidor\recurso\carpeta.Para tener un
espacio de nombres necesitamos un servidor de espacios de nombres,
y ste puede ser un servidor miembro o un controlador de
dominio.Para instalar DFS necesitaremos aadir el Role DFS.1.
Administrador del Servidor2. Clic derecho en Roles, o en el Role
Servicios de Archivos3. Agregar Roles, o Agregar Servicios de
Role
4. Servicios de archivos5. Siguiente6. Marcamos Sistema de
archivos distribuido(se aadirn dos roles)
7. Siguiente8. Crear un espacio de nombres ms adelante con el
complemento Administracin de DFS.
9. Siguiente10. Instalar11. Cerrar
Como durante el proceso anterior no creamos un Namespace, sino
que escogimos crear un Espacio de nombres ms adelante, Lo siguiente
ser crear y configurar ese Espacio de Nombres DFS.Posted
inHerramientas,Windows 2008 R2,Windows ServerCarpetas: seguridad,
acceso y replicacin IIPosted on27/10/2011Asegurar carpetas y
archivos?Las carpetas y los archivos contienen datos, estos pueden
no tener importancia o s tenerla, lo que nos indicar que necesiten
ms o menos proteccin, y dentro de esta puede que queramos una
proteccin extendida. En cada uno de los casos necesitaremos
implementar una estrategia de seguridad distinta: permisos,
almacenamiento, cifrado y auditora. Como ya comentamos los
permisos, veamos otras opciones.EFSCifrado del sistema de
archivos.El cifrado es una caracterstica de Windows que podemos
utilizar para cifrar archivos y carpetas en nuestro disco y
proporcionar un formato de almacenamiento seguro.EFS es el ncleo de
la tecnologa de cifrado usada en volmenes NTFS(slo). Un archivo
cifrado no puede utilizarse a menos que el usuario tenga acceso a
las claves necesarias para descifrarlo. Los archivos no tienen
porque ser manualmente cifrados/descifrados cada vez que se usen.
Se abrirn y cerrarn justo como cualquier otro archivo. Una vez
habilitado EFS, el cifrado es transparente para el usuario.El uso
de EFS es similar a utilizar permisos NTFS sobre archivos y
carpetas. Sin embargo, un usuario que tuviera acceso fsico a
archivos cifrados seguira siendo incapaz de leerlos debido a su
cifrado.Podemos cifrar o descifrar archivos y carpetas configurando
el atributo de la propiedad de cifrado para ese archivo o carpeta.
La propiedad de cifrado es un atributo que se aplica como los de
solo-lectura, comprimido u oculto en archivos y carpetas.As
pues:Elegimos el archivo o carpeta, clic derecho, propiedades, botn
avanzadas y marcamos el atributo de cifrado. LuegoAceptar.
Ahora le damos aAplicar.
Se nos advierte para que cifremos la carpeta tambin para evitar
copias sin cifrar.
Luego podemos ir de nuevo a Propiedades, botn avanzado y tenemos
el botn Detalles activo, si lo pulsamos
Nos muestra los detalles del archivo/carpeta. Aqu podemos
agregar otros usuarios para que puedan acceder a ese
archivo/carpeta cifrada, clic en Agregar.
Podemos ver los certificados dndole al botn de Ver
certificado.
Pero nosotros elegimos el que pertenece al usuario a aadir y le
damos a Aceptar.
Ya tenemos activos los usuarios que podrn acceder al
archivo/carpeta.
Es importante ver que los atributos de Compresin y de Cifrado
son excluyentes, es decir, slo podemos marcar uno al mismo
tiempo.Otras consideraciones a tener en cuenta cuando usamos EFS
son: Slo pueden cifrarse archivos y carpetas en volmenes NTFS.
Podemos usar WebDAV si queremos tranferir archivos y carpetas
cifradas. Los archivos/carpetas cifrados se descifrarn si los
movemos a un volumen que no sea NTFS. Si movemos archivos/carpetas
dentro de una carpeta cifrada producir el cifrado de lo movido; sin
embargo esto no sucede al contrario, si movemos un archivo/carpeta
cifrado desde una carpeta cifrada a otra no cifrada, no se
descifrarn automticamente, deben descifrarse explcitamente de forma
manual. Los archivos marcados con el atributo de archivos de
sistema y aqullos residentes en el directorio raz del sistema no se
pueden cifrar con EFS. Marcar un archivo/carpeta con el atributo de
cifrado no impide que un usuario con los permisos NTFS adecuados
puede borrarlos, listarlos o listar directorios si estos permisos
permiten dichas funciones. USA EFS y permisos NTFS
equilibradamente. Podemos cifrar/descifrar archivos y carpetas de
un equipo remoto en el que ha sido habilitado el cifrado remoto.
Cuando lo hacemos, los datos son transmitidos por la red de forma
NO-Cifrada, deben usarse protocolos como SSL o IPSec para cifrar el
trfico.Podemos implementar EFS mediante GPO, por supuesto.
Configuracin de Equipo\Configuracin de Windows\Configuracin de
Seguridad\Directivas de Clave Pblica\Sistema de cifrado de archivos
(EFS).Mediante esta configuracin podemos elegir diversas opciones
sobre EFS.BITLOCKERComo vimos anteriormente, EFS no cifra los
archivos marcados como de sistema o que se encuentren el el
directorio raz del mismo. Entonces, qu podemos hacer? La respuesta
es Bitlocker. Diseado para cifrar la particin en la que se
encuentra el sistema operativo. A diferencia de EFS, que permite al
usuario seleccionar y escoger archivos y carpetas para cifrar,
Bitlocker cifra particiones y/o unidades enteras. Puede utilizarse
para unidades conectadas localmente, mientras que Bitlocker To Go
puede usarse para dispositivos como sticks USB que pueden
conectarse de forma temporal. Si el dispositivo se conecta a otro
sistema, los datos son inaccesibles. Bitlocker usa una parte
hardware incorporada en la placa base llamado chip TPM. Y lo usa
para dar las claves que se usarn para desbloquear la unidad cifrada
del sistema. Cuando iniciamos el sistema, bitlocker solicita la
clave al chip TPM y la usa para desbloquear la unidad.Cuando usamos
una unidad cifrada con bitlocker, si aadimos nuevos archivos stos
se cifran automticamente. Las unidades (fijas o extrables) pueden
desbloquearse con una contrasea o tarjeta inteligente, o establecer
que se desbloquee automticamente en cuanto iniciemos sesin en el
equipo.Puede usarse junto a EFS. Tened clara la estrategia para que
el impacto sobre los usuarios y el acceso a los datos no se
penalice.Habilitar Bitlocker:Lo primero es habilitar el chip TPM en
la BIOS.Ahora podemos ir al Administrador del servidor y habilitar
bitlocker: Caractersticas, aadir caractersticas, seleccionamos
Cifrado de unidad Bitlocker y Seguir, luego le damos a Instalar. Se
nos pedir que reiniciemos el equipo, una vez reiniciado cerramos la
ventana del administrador del servidor.
Desde el botn de inicio, escribir Bitlocker en la caja de
bsqueda y pulsar INTRO.
Desde aqu podemos activar el bitlocker.En todo esto hay que
tener en cuenta que algo puede ir mal, qu pasa si algo va mal en un
servidor con Bitlocker? qu pasa si las claves que contienen el
modulo TPM son inaccesibles? Si un usuario pierde su PIN? qu pasa
si el hardware falla y queremos salvar el disco duro?
Afortunadamente hay un sistema de recuperacin y el proceso depende
de un componente muy importante, la CLAVE de recuperacin. Cuando
activamos Bitlocker se nos pregunta por una ubicacin en la que
almacenar la clave de recuperacin de Bitlocker. Si tenemos acceso a
dicha clave podremos recuperar la unidad cifrada. Simple y directa:
Iniciamos el ordenador Se nos indicar que no se encuentran las
claves para iniciar el descifrado, y una opcin de recuperacin.
Escribimos los 48 dgitos de la clave de recuperacin. Se descifrar
la unidad y el sistema iniciar con normalidad.Aqu debemos tomar
medidas: deshabilitar Bitlocker y descifrar la unidad (ms adelante
podemos volver a activarlo y crear una nueva serie de claves) o
restablecer la conectividad con la clave original si an disponemos
de ella.Bitlocker To GoEsta herramienta nos proporciona el cifrado
de una particin pero en unidades removibles. En lugar de usar una
herramienta de cifrado, podemos usar Bitlocker para cifrar el
contenido de una unidad removible. Como vemos en la imagen anterior
de Bitlocker para usar Bitlocker To Go slo se necesita insertar una
unidad extrable.Esta herramienta difiere un poco con la anterior:
No se necesita el chip TPM para guardar las claves. Necesitars
elegir el cmo quieres desbloquear la unidad. Puede hacerse mediante
una contrasea que aportars durante la instalacin o con una tarjeta
inteligente y su PIN. As como en Bitlocker, aqu tambin hay una
clave de recuperacin asociada, guardar este archivo cuidadosamente
en un lugar donde no se pierda, o mejor an, se imprime y se guarda
en lugar seguro. Recuerda que si el dispositivo se vuelve
inaccesible por cualquier razn, la clave de recuperacin ser el nico
medio para recuperar los datos.La unidad se cifrar de la misma
forma que se cifra la unidad del sistema, un poco ms rpido si el
tamao del extrable es ms pequeo. Ya cifrado, en cuanto lo
insertemos en cualquier equipo se nos pedir la contrasea o la
tarjeta/PIN. Los archivos que se copien o muevan a la unidad se
cifrarn.Una opcin para tener archivos y carpetas almacenadas en una
unidad extrable de forma segura. Podemos usar adems las GPO para
forzar Bitlocker To Go para usar unidades extrables y que las
claves de guarden en AD.Posted inWindows 2008 R2,Windows
ServerCarpetas: seguridad, acceso y replicacin.Posted
on15/09/2011Estaremos de acuerdo en qu uno de los propsitos de una
red de servidores es, controlar el acceso a los recursos que se
comparten en lla. Estos recursos, como sabemos, pueden ser
archivos, carpetas, pginas web, BD, impresoras, etc El trabajo de
los servidores es proporcionar acceso a todas estas cosas. Si no
haycosasno es necesaria ninguna seguridad ni proteccin, no
necesitamos Windows Server.Los permisosUnsistema de archivospor
definicin es una estructura jerrquica de carpetas que alojan
archivos, y los aseguran mediante series de Listas de Control de
Acceso (ACLs) y Entradas de Control de Acceso (ACEs) que definen el
tipo de permisos que se permiten o niegan a aqullas carpetas y
archivos. As que el primer mtodo para asegurar carpetas y sus
archivos en un mundo Windows son lospermisos.Los permisos se
encuentran en dos variedades: los permisos para compartir y los
permisos NTFS. Cuando se crea una carpeta en el sistema de
archivos, hay un conjunto de permisos predeterminados que se le
asignan. SYSTEM (el propio sistema), el usuario qu la ha creado y
el grupo local de administradores del servidor donde se cre, todos
ellos necesitan algn tipo de acceso sobre la carpeta creada. En
este caso, al crear una carpeta en la raz del disco un 2008 R2(de
ejemplo), quedan as:
Los permisosNTFSse asignan cuando se crea la carpeta, pero se
pueden editar en cualquier momento por el usuario o miembro del
grupo que tenga el permisomodificarsobre la carpeta.A su vez, los
permisos NTFS se dividen en dos tipos: permisos estndar y permisos
especiales. Los primeros son exactamente,control total, modificar,
lectura y ejecucin, mostrar el contenido de la carpeta, lectura y
escritura. Cada uno de ellos pueden permitirse o negarse. Ya que
tenemos la opcin de permitir o negar los permisos sobre una
carpeta, en un sistema de archivos NTFS, disponemos de flexibilidad
sobre el nivel de acceso a una carpeta predeterminada.Como aadido a
los permisos estndar, hay permisos especiales que tambin pueden
establecerse en cada carpeta y/o archivo. Estos ltimos hacen ms que
proporcionar acceso simple a la carpeta en la que se aplican,
proporcionan la propiedad de la misma, as como la capacidad de
cambiarle los permisos y la jerarqua que pueda existir por debajo
de la misma.Para configurar permisos NTFS hemos de seguir unos
sencillos pasos: Clic derecho en la carpeta, seleccionar
propiedades, seleccionar la pestaa Seguridad y pulsar el botn
Editar.A partir de aqu, podemos seleccionar un usuario/grupo
existente de la lista de los que ya tienen permisos asignados o,
tambin, aadir usuarios/grupos a los que queremos asignarles
permisos sobre la carpeta. Estos usuarios/grupos pueden ser locales
o pertenecientes al AD (si el equipo est en un dominio y no es un
DC en el caso de usuarios locales porque no existen). Y eliminar
usuarios/grupos de los que ya tienen permisos asignados.
Tengamos en cuenta una cosa importante, cualquiera no puede
aadir, cambiar o eliminar permisos NTFS en una carpeta. Se necesita
tener permisos sobre la carpeta para poder hacerlo. Los permisos
para cambiar permisos o tomar la propiedad de la carpeta
sonpermisos especiales.Para establecer permisos especiales el
camino es parecido:Clic derecho en la carpeta y seleccionamos
propiedades,
Seleccionamos la pestaa Seguridad y clic en el Botn Opciones
Avanzadas
Ahora elegimos la pestaa Permisos y pulsaremos el botn Cambiar
Permisos
En la ventana de configuracin de permisos dispondremos de la
posibilidad de aadir, editar y cambiar la herencia de los
mismos.
Si lo que queremos es ver los permisos efectivos, en vez de
elegir la pestaa Permisos, elegiremos la de Permisos efectivos.
Seleccionamos el grupo/usuario y le damos a aceptar.
Para tomar la propiedad de la carpeta, seleccionamos la pestaa
Propietario y usamos el botn Editar.
CompartirPara hacer que una carpeta y su contenido estn al
alcance mediante la red:1. Escogemos la carpeta2. clic derecho y
propiedades3. pestaa Compartir
4. Aqu disponemos de dos opciones, un botn compartir y uno de
Uso compartido Avanzado.A. Botn compartir
i. Seleccionamos usuario/grupo
ii. Agregamos
iii. Seleccionamos los permisos
iv. le damos al botn compartir
B. Uso compartido Avanzado
i. Nos sirve tanto para compartir como para dejar de compartir
(casilla compartir esta carpeta)
ii. Nombre del recurso, comentarios.iii. Botn permisos,
Agregamos usuarios/grupos y marcamos los permisos: slo disponemos
de tres.
El recurso finalmente compartido ya muestra en sus propiedades
la ruta y que est compartido.
Permisos compartir vs permisos NTFS, la luchaPor qu digo lucha?
Pues porque el cruce de ambos tipos de permisos siempre producen
quebraderos de cabeza, por experiencia.Conflictos. Eso es lo que
tienen los permisos compartir y NTFS, conflictos, pero cmo los
resolvemos? En principio os comentar algo bsico a tener en
cuenta:a) Cuando marcamos NEGAR siempre es precedente sobre
PERMITIR.b) Si los permisos COMPARTIR y NTFS chocan, siempre se
aplica el MS RESTRICTIVO!Qu quiero decir con esto? Pues viendo unos
ejemplos quizs
Esto puede complicarse mucho si aplicamos permisos sobre
usuarios/grupos, cuantos ms usuarios y grupos ms liado.Yo
normalmente utilizo un pequeo sistema, Aplico a COMPARTIR Control
Total al grupo todos y me olvido de esta parte, desde aqu uso los
NTFS sobre la carpeta y slo me preocupo de estos. As si veo que
tiene Lectura y quiero que escriba, slo modifico el correspondiente
en la pestaa Seguridad. Tambin podra hacerlo a la inversa, pero
tendra menos granularidad.En todo caso, me aseguro bien cuando
aplico permisos diferentes en Compartir, es decir, si es un recurso
que tengo claro que slo debe leerse ni lo cambio, digan lo que
digan los NTFS por la Red slo podr leerse.Posted inWindows 2008
R2,Windows ServerProblemas con Directivas de Grupo?Posted
on05/09/2011Cuando se trabaja con Directivas de Grupo podemos tener
algunos problemas en su aplicacin, as qu hay que usar algunas
herramientas para buscar solucionarlos y no perder nuestro tiempo
de administracin.Las herramientas integradas se enfocan en predecir
el cmo se aplican y el cmo buscar el resultado de esa
aplicacin.Group Policy Modeling Wizard (GPMW), Group Policy Results
Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP.Por ltimo,
estas herramientas nos permitirn ver el orden de precedencia en
accin. Podemos ver qu directivas se aplicaron sobre el sistema y
cules son las qu vencieron.Adems, ya que las directivas se basan en
la red, todas las herramientas que utilizamos para comprobarla
desde el ping a la resolucin de nombres- son vlidas para solucionar
problemas de directiva.GPMW Modelado de directivas de grupoGPMW nos
permite previsualizar nuestras directivas de grupo. La herramienta
modela los resultados de las directivas antes de implementarlas.
Esta herramienta construye informes basados en lo qu est
configurado a nivel de sitios, dominios y OUs, tanto para equipos
como para usuarios. Basado en las reglas de aplicacin de
directivas, la herramienta nos proporciona una instantnea de las
directivas que se aplicarn. Tambin nos muestra cmo afectar
cualquier filtro WMI o de seguridad.GPMW se encuentra en la consola
GPMC. Es importante recalcar que GPMW evala slo un RSOP terico
basado en todas las directivas y filtros establecidos va Active
Directory.Para crear un modelado:1. Clic derecho en Modelado de
directivas de grupo, clic en Asistente para modelado de directivas
de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el Controlador de dominio que queremos utilizar
para procesar la solicitud de modelado y siguiente.
4. Escoger que queremos modelar. Podemos elegir un usuario o
equipo individual, o un mbito (dominio u OU) para cualquiera de
ellos (equipo o usuario). Una combinacin de lo anterior.
5. Tambin podemos simular una red lenta o un bucle invertido en
la pgina de dilogo de simulacin.
6. Elegiremos la ruta de AD alternativo u otras ubicaciones a
simular. (Esta pgina podra no mostrarse dependiendo de la eleccin
en el paso 3)7. Simular los cambios en el grupo de seguridad del
usuario.
8. O, simular los cambios en el grupo de seguridad del
equipo.
9. Los filtros para usuarios.
10. Los filtros para equipo.
11. Vemos un resumen y siguiente para la creacin del
modelado.
12. Pulsamos en finalizar y obtenemos el informe, aparece bajo
el nodo de modelado de directivas de grupo.
El informe queda bajo el nodo de Modelado.
GPRW o Asistente de Resultados de Directivas de GrupoHay algunas
herramientas que nos permiten obtener el RSOP. Una de ellas se
encuentra en la consola, GPMC, el asistente de Resultados de
directiva de grupo.Una vez localizada en el rbol de la izquierda:1.
Clic derecho y seleccionamos Asistente de resultado de directivas
de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el equipo, local o remoto. Siguiente.
4. Seleccionamos la cuenta de usuario para el que queremos el
RSOP, Siguiente.
5. Ventana resumen, siguiente.
6. Pulsamos en finalizar para volver a GPMC y ver el
informe.
GPResult.exeHerramienta desde l smbolo del sistema, nos permite
ver los resultados de directiva de grupo tanto para el sistema
local y usuario actual, como equipos remotos y otros usuarios. Como
otros comandos, dispone de commutadores y parmetros que
proporcionan informacin adicional. Pueden entubarse los resultados
hacia un archivo de texto y utilizar el comando en archivos de
lotes y/o scripts.
RSOP, elemento de MMC, conjunto resultante de directivas.Slo
hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el
elemento Usuarios y equipos de ACtive Directory.
Esta herramienta es similar al asistente de resultados de
directiva, pero con la ventaja de que puede mostrar los resultados
de mltiples directivas. Disponible en dos modos, Planning i Logging
modes. La diferencia principal entre ellos es el cmo proporcionamos
el RSOP. Planning mode es similar a GPMW, simula el proceso de
directivas, mientras Logging mode consulta la BD WMI de un equipo
especfico, que se reune cuando se aplica la directiva. Podemos ver
informacin del usuario con esta herramienta slo si el usuario ha
iniciado sesin en el sistema. Adems, veremos slo aqullas directivas
que se hayan procesado en el sistema.Ambos modos tienen ventajas.
La principal de Planning es la generacin de informes basados en los
valores que sern procesados antes de serlo. Permite la simulacin de
comportamientos y solucionar problemas antes de aplicar las
directivas en produccin. En cuanto a Logging, la principal ventaja
es la exactitud, ya que el informe est basado en lo qu realmente se
ha procesado.Posted inDirectivas,Herramientas,Windows 2008
R2Automatizando tareas administrativas: Copia de seguridad de las
GPO del dominioPosted on01/09/2011Tener una copia de seguridad de
las Directivas de Grupo nos vendr bien en algunos casos. Para
realizar dicha copia podemos acceder simplemente a la Consola de
administracin de Directivas y hacer unos pocos pasos:1. Clic
derecho en los objetos de Directiva de Grupo y clic en hacer copia
de seguridad de todos
2. Indicamos la ruta y la descripcin, y se realiza la copia de
seguridad.
Aunque tambin podemos hacerlo con Powershell, por ejemplo desde
El script-center tenemos un script para copiar las Directivas de
Grupo modificadas en el
mes.http://blogs.technet.com/b/grouppolicy/archive/2009/03/26/powershell-script-backup-all-gpos-that-have-been-modified-this-month.aspxEl
cdigo es prcticamente el mismo, pero he traducido las cadenas y
aadidoimport-ActiveDirectorypara que pueda usar los cmdlets de AD,
y cambiado la sentencia que recoge las GPO para que hiciera el
backup de todas en lugar de las modificadas. 1 # El siguiente
script busca todas las Directivas de Grupo en el dominio que hayan
sido modificadas este mes. Entonces genera una copia de seguridad y
un informe de configuracin por cada una. Finalmente lista todas las
que se han copiado. 2 ## depende de si se accede por el acceso a la
consola powershell de AD o se ha navegado hacia all primero 3 4 #
necesario para usar los cmdlets de directiva de grupo y Active
Directory 5 import-module ActiveDirectory 6 import-module
grouppolicy 7 8 #Sacar todas las directivas de grupo enlazadas en
el dominio del equipo local 9 #el primer paso es obtener el objeto
dominio 10 # intro "get-ADDomain -?" para la ayuda 11 12 $mydomain
= get-ADDomain -current LocalComputer 13 14 # el siguiente paso es
obtener todas las directivas de grupo actualmente en el dominio que
hayan sido modificadas este mes 15 16 $currentDate = get-Date 17 18
# $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all | where
{$_.ModificationTime.Year.equals($currentDate.Year) -And
$_.ModificationTime.Month.equals($CurrentDate.Month)} 19 20
$ModGPOs = get-gpo -domain $mydomain.DNSRoot -all21 22 # bucle de
las directivas de grupo 23 24 $RootPath = "C:\GPOBackup\Reports\"
25 26 Foreach ($GPO in $ModGPOs) { 27 # Copia de seguridad de la
directiva en la ruta especificada 28 $GPOBackup = backup-GPO
$GPO.DisplayName -path "C:\GPOBackup" 29 30 # Primero crea la ruta
del informe, luego lo genera con la configuracin guardada. 31
$ReportPath = $RootPath + $GPO.ModificationTime.Month + "-"+
$GPO.ModificationTime.Day + "-" + $GPO.ModificationTime.Year + "_"
+ $GPO.Displayname + "_" + $GPOBackup.Id + ".html" 32 get-GPOReport
-Name $GPO.DisplayName -path $ReportPath -ReportType HTML 33 } 34
35 # Salida de cuales directivas de grupo se han guardado
correctamente. 36 37 "Las siguientes " + $ModGPOs.count + "
Directivas de Grupo se han guardado correctamente:" | out-host 38
39 Foreach ($GPO in $ModGPOs) { 40 " " + $GPO.DisplayName |
out-host 41 } 42 43 "Ir a " + $RootPath + " para ver los informes
de configuracin de las Directivas de Grupo guardadas." |
out-host44
Posted inDirectivas,Herramientas,Powershell,Windows 2008
R2Directivas y PreferenciasPosted on31/08/2011Si leemosGPMC,
herramienta principal de creacin de Directivas.UnaGPOes un objeto
que contiene la configuracin de valores que queremos aplicar a
usuarios y/o equipos. En espaol,Directiva de Grupo.UnLinkde
Directiva de Grupo es lo que enlaza la directiva a la parte del
entorno deADdonde queremos aplicarla. Referido a su mbito, en el
que hay tres niveles donde las aplicamos: Sitios, dominios y
OUs.ElEditor de Directivas de grupoes la herramienta que se utiliza
para modificar los valores de las directivas, y los valores
disponibles se basan en las plantillas administrativas disponibles
y cargadas.Los archivosADMXtienen dos propsitos. El primero es
definir los valores y la ubicacin de configuracin (en el equipo
local) para aqullos. La segunda es crear el interfaz que usamos
para las modificaciones desde el Editor.Las PREFERENCIAS
proporcionan una alternativa para trabajar con imgenes en toda la
organizacin y administrar valores que no se han configurado antes
en unaGPO. Inicialmente esta configuracin establecida por el
administrador del sistema refleja un estado predeterminado del
sistema operativo y, estos valores no son obligatorios
necesariamente.Cuando hablamos deRSOPnos referimos al conjunto
resultante de configuracin de Directivas de Grupo aplicadas al
finalizar completamente su proceso. Podra ser una combinacin de
varios niveles de Directivas.Directivas vs PreferenciasDos son las
formas de configurar sistemas, las Directivas y las Preferencias.
Ambas pueden modificar los objetos equipo y usuario, sin embargo la
razn de su uso es muy diferente. La ms importancia su
obligatoriedad, las Directivas lo son, mientras que las
Preferencias no lo son estrictamente.Directivas:Los valores e
interfaz se basan enplantillas administrativas. Realizan cambios en
elRegistrosegn las indicaciones de la plantilla. Hay secciones
especiales de las ramas del Registro que se controlan mediante
Directivas, conocidas como las verdaderas. En caso de valores de
Equipo: HKEY_LOCAL_MACHINE\SOFTWARE\policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policiesy
para el Usuario: HKEY_CURRENT_USER\SOFTWARE\policies
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policiesCada
vez que el sistema procesa una Directiva y obtiene el RSOP, estas
ramas del Registro (claves y valores) son borrados y reescritos con
la nueva RSOP. Esto pasa slo en la medida que una Directiva de
grupo vlida se sigue aplicando al equipo o usuario.Finalmente,
podemos crear nuestros propios valores de Directiva modificando una
de las plantillas administrativas existentes o creando una nueva.
Esto nos permite trabajar con el Registro completo (exceptando las
ramas mencionadas antes). Sin embargo, es muy importante advertir
que estos valores tatuarn el Registro. En otras palabras, los
valores quedarn establecidos permanentemente hasta que
especficamente los revertamos en la Directiva. Esto significa que
si eliminamos nuestra Directiva, este tipo de valores no
desaparecen y debemos revertirlos a mano.Preferencias:Introducidas
desde MS Windows 2008, nos proporcionan una alternativa al uso de
scripts para realizar tareas comunes. Estas tareas, en todo caso,
no eran fciles de hacer en las Directivas. Las preferencias nos
permiten ahora modificar valores del Registro Local, grupos y
usuarios locales, archivos y carpetas, impresoras, servicios
locales, unidades de red, y otros muchos valores locales. Ya que
las Preferencias no son obligatorias, los usuarios pueden realizar
cambios. Adems, son de utilidad para aplicaciones a las que las
Directivas no cuenta y valores del sistema. Sin embargo, siempre
que un usuario decide cambiar algo, lo ms probable es que no
disponga del permiso necesario para hacerlo ya que la mayora de las
Preferencias requieren algn tipo de credenciales
administrativas.Tambin podemos aplicar elementos de preferencias
individuales mediante el filtrado de Directivas, aunque de forma
distinta a las Directivas verdaderas, ya que en las segundas no
podemos individualizar valores dentro de la Directiva.En Windows
Server 2008 R2, la edicin de Preferencias se ha mejorado.Veamoslo
con un ejemplo:Hasta ahora, yo mismo usaba un script de vbs para
asignar unidades de red e impresoras a los usuarios, por
ejemplo:Dim oNetSet oNet =
CreateObject("WScript.Network")ONet.MapNetworkDrive "Z:",
"\\SRVDOMpruebas\compartido"Set WshNetwork =
CreateObject("WScript.Network")PrinterPath =
"\\SRVDOMpruebas\hpbusiness"PrinterDriver = "HP BUSINESS injeck
1000"WshNetwork.AddWindowsPrinterConnection PrinterPath,
PrinterDriverWshNetwork.SetDefaultPrinter
"\\SRVDOMpruebas\hpbusiness"Una unidad mapeada como Z que apunta al
recurso compartido y una impresora instalada en SRVDOMpruebas
denominada hpbusiness, que ademas se estableca como
predeterminada.Bien, ahora esto podemos hacerlo con unaGPP, es
decir, Group Policy Preferences o Preferencias de Directiva de
Grupo.Crear una GPP es como crear una GPO, abrimos la consola de
Administracin de Directivas y vamos con el ejemplo.1. Seleccionamos
Objetos de Directiva de Grupo, clic derecho y NUEVA, le damos un
nombre descriptivo y dejamos el origen como sale.
2. Clic derecho en la nueva directiva y Editar.
3. Unidad de red:
A. En el editor escogemos la ruta, Configuracin de
Usuario|Preferencias|Configuracin de Windows|Unidades de red, clic
derecho, Nueva Unidad y seguimos el asistente.
B. El valor de Accin es lo ms importante, cuatro
posibilidades:i. Crear. La preferencia se configurar si la
configuracin no existe, por el contrario si ya existe, no se
realizar ninguna accin.ii. Reemplazar. Se elimina y se recrea de
nuevo la configuracin.iii. Actualizar. La ms poderosa, con ella lo
hacemos todo, lo crea si no existe y si existe la actualiza.iv.
Eliminar. Se quita la configuracin.
C. Realizada la configuracin como queda en la imagen, seguimos
con el siguiente paso, configurar a qu usuarios les afectar la
preferencia. (En este caso, esta es una de las dos configuraciones
que residirn en la misma GPO que se enlazar a los usuarios de una
OU, la otra es la impresora.) Para elegir los destinatarios de la
OU receptora que pertenecern al grupo pruebas.i. Pestaa
Comunes.
ii. Marcar la casilla Destinatarios de nivel de elemento.iii.
Pulsar el botn Destinatarios.D. Aqu tenemos el Editor de
Destinatarios, vamos a individualizar, en este caso usuarios pero
podramos hacerlo con equipos tambin.
i. En este caso los destinatarios son los usuarios del grupo
pruebas, Nuevo elemento, grupo de seguridad.ii. Pulsamos en el botn
y elegimos el grupo.
iii. Aceptar para finalizar la configuracin.Aqu ya tenemos la
UNIDAD DE RED en Z:\, equivalente a la primera parte del script de
ejemplo.Para aadir la impresora realizaremos los mismos pasos, pero
esta vez elegiremos Impresora compartida.Y tambin escogeremos los
destinatarios, en este caso por rango de IP.Juansa2011Posted
inDirectivas,Preferencias,Windows 2008 R2Post navigationOlder
postsNewer postsCALENDARIOMTWTFSS
Jun
1234567
891011121314
15161718192021
22232425262728
2930
JUNE 2015
VISITAS
RECENT POSTS Trabajo con discos y particiones III Trabajo con
discos y particiones (Bsico) II Access bsico (Jos Bengoechea
Ibaceta) Trabajo con discos y particiones (Bsico) I
DiscosPowerShell y las GPOPosted on21/12/2011Con Active Directory
desplegado en nuestra entorno deberamos ser capaces de controlar la
seguridad, administracin y el acceso a los recursos desde una
ubicacin centralizada. Y adems administrar y controlar los
escritorios!Cmo hemos ido viendo en multitud de ocasiones, AD tiene
una herramienta Group Policy (Directiva de grupo), para centralizar
los escritorios. Con ella podemos administrar virtualmente todo en
los sistemas de nuestro entorno, desde el fondo del escritorio
hasta qu aplicaciones pueden ejecutarse. Incluyendo no slo los
escritorios cliente sino tambin los servidores.Directiva de grupo
nos permite obligar el cumplimiento de nuestras polticas,
implementar cualquier configuracin de seguridad que queramos e,
implementar un entorno estndar a travs de todo el Directorio
Activo.Con un entorno estndar proporcionamos una base consistente y
adems aligerar las llamadas de soporte al departamento. Antes de
ver como podemos trabajar con Poweshell y GP, repasemos algunas
cuestiones bsicas:Conocer sobre:DESCRIPCIN
GPMCConsola administracin DirectivasInterfaz principal, aqu
creamos los GPOs. Definimos a qu se aplicarn los enlaces creados.
Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.
GPOObjeto de Directiva de GrupoObjeto que contiene la
configuracin que queremos aplicar a usuarios y/o equipos. Se
enlazan a OUs.
Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno
AD al qu queremos que se le aplique. Conocido como mbito o alcance:
Sites, Dominios y OUs.
ArchivoADMXArchivo de plantilla administrativa, define la
ubicacin de la configuracin y valores en el sistema local, y crea
el interfaz que usamos para modificar dicha configuracin/valores
desde el Editor de Directivas de grupo, que no es ms que un GUI de
administracin de las mismas.
Preferenciasde Directiva de GrupoProporciona alternativas para
trabajar con imgenes en toda la organizacin y as administrar
configuraciones que no son fciles desde la Directiva de Grupo. Esta
configuracin, inicialmente establecida por el administrador,
refleja un estado del sistema predeterminado y que no es
obligatorio.
RSoPConjunto de configuraciones de directiva aplicadas despus
del completo proceso de las mismas. Puede ser una combinacin de
muchos niveles de Directivas.
En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El
mbito ms grande es el SITE y aqu se ven afectados todos los
dominios y objetos que contenga.En el DOMINIO se vern afectados
todos los objetos contenidos en l.En las OU, todos los objetos que
contengan, as como los sucesivos anidamientos de OUs y sus
objetos.El uso de unos u otros se determina por las necesidades, si
bien hay algunas recomendaciones al efecto:Configuracin de
seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de
valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en
las OU, es lo que ms recomiendan, proporcionan facilidad de
administracin y localizacin de nuestras Directivas.Administrar las
Directivas de GrupoComo otras herramientas, powershell ha dedicado
un mdulo para almacenar los cmdlets que podemos usar en la
administracin de Directivas de Grupo. ste mdulo no est disponible
en todos los sistemas en los que Powershell est instalado. Slo se
encuentra en DCs, servidores miembros con GPMC instalada o Windows
7 con RSAT instaladas.Para importar el mdulo usamos el
comando:Import-Module grouppolicyAunque si lo intentamos en un
equipo que no cumpla los requisitos recibiremos un mensajito
Pero sigamos en uno que s,
Una vez importado podemos listar los cmdlets
disponibles,Get-Command module grouppolicy
El comandoGet-GPO Allnos permite ver las GPO del
dominio.Establece un valor de Preferencia. Igual que el anterior,
hay que conocer la ubicacin en el Registro.CmdletQu hace:
Get-GPOLista las GPO en el Dominio, podemos listar una
especficamente o todas.
New-GPOCrea una nueva GPO en el dominio.
New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en
el dominio.
Set-GPRegistryValueEstablece un valor de directiva. Para que
este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de
la misma en el Registro.
Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay
que conocer la ubicacin en el Registro.
Ejemplos: Get-GPO All
Podemos ver la configuracin de una en particular, por ejemplo
listamos las que hay en SySVol
Y con su GUID
Y con su nombre
Posted inDirectivas,Powershell,Scripting,Windows 2008
R2Problemas con Directivas de Grupo?Posted on05/09/2011Cuando se
trabaja con Directivas de Grupo podemos tener algunos problemas en
su aplicacin, as qu hay que usar algunas herramientas para buscar
solucionarlos y no perder nuestro tiempo de administracin.Las
herramientas integradas se enfocan en predecir el cmo se aplican y
el cmo buscar el resultado de esa aplicacin.Group Policy Modeling
Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y
el elemento de MMC: RSOP.Por ltimo, estas herramientas nos
permitirn ver el orden de precedencia en accin. Podemos ver qu
directivas se aplicaron sobre el sistema y cules son las qu
vencieron.Adems, ya que las directivas se basan en la red, todas
las herramientas que utilizamos para comprobarla desde el ping a la
resolucin de nombres- son vlidas para solucionar problemas de
directiva.GPMW Modelado de directivas de grupoGPMW nos permite
previsualizar nuestras directivas de grupo. La herramienta modela
los resultados de las directivas antes de implementarlas. Esta
herramienta construye informes basados en lo qu est configurado a
nivel de sitios, dominios y OUs, tanto para equipos como para
usuarios. Basado en las reglas de aplicacin de directivas, la
herramienta nos proporciona una instantnea de las directivas que se
aplicarn. Tambin nos muestra cmo afectar cualquier filtro WMI o de
seguridad.GPMW se encuentra en la consola GPMC. Es importante
recalcar que GPMW evala slo un RSOP terico basado en todas las
directivas y filtros establecidos va Active Directory.Para crear un
modelado:1. Clic derecho en Modelado de directivas de grupo, clic
en Asistente para modelado de directivas de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el Controlador de dominio que queremos utilizar
para procesar la solicitud de modelado y siguiente.
4. Escoger que queremos modelar. Podemos elegir un usuario o
equipo individual, o un mbito (dominio u OU) para cualquiera de
ellos (equipo o usuario). Una combinacin de lo anterior.
5. Tambin podemos simular una red lenta o un bucle invertido en
la pgina de dilogo de simulacin.
6. Elegiremos la ruta de AD alternativo u otras ubicaciones a
simular. (Esta pgina podra no mostrarse dependiendo de la eleccin
en el paso 3)7. Simular los cambios en el grupo de seguridad del
usuario.
8. O, simular los cambios en el grupo de seguridad del
equipo.
9. Los filtros para usuarios.
10. Los filtros para equipo.
11. Vemos un resumen y siguiente para la creacin del
modelado.
12. Pulsamos en finalizar y obtenemos el informe, aparece bajo
el nodo de modelado de directivas de grupo.
El informe queda bajo el nodo de Modelado.
GPRW o Asistente de Resultados de Directivas de GrupoHay algunas
herramientas que nos permiten obtener el RSOP. Una de ellas se
encuentra en la consola, GPMC, el asistente de Resultados de
directiva de grupo.Una vez localizada en el rbol de la izquierda:1.
Clic derecho y seleccionamos Asistente de resultado de directivas
de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el equipo, local o remoto. Siguiente.
4. Seleccionamos la cuenta de usuario para el que queremos el
RSOP, Siguiente.
5. Ventana resumen, siguiente.
6. Pulsamos en finalizar para volver a GPMC y ver el
informe.
GPResult.exeHerramienta desde l smbolo del sistema, nos permite
ver los resultados de directiva de grupo tanto para el sistema
local y usuario actual, como equipos remotos y otros usuarios. Como
otros comandos, dispone de commutadores y parmetros que
proporcionan informacin adicional. Pueden entubarse los resultados
hacia un archivo de texto y utilizar el comando en archivos de
lotes y/o scripts.
RSOP, elemento de MMC, conjunto resultante de directivas.Slo
hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el
elemento Usuarios y equipos de ACtive Directory.
Esta herramienta es similar al asistente de resultados de
directiva, pero con la ventaja de que puede mostrar los resultados
de mltiples directivas. Disponible en dos modos, Planning i Logging
modes. La diferencia principal entre ellos es el cmo proporcionamos
el RSOP. Planning mode es similar a GPMW, simula el proceso de
directivas, mientras Logging mode consulta la BD WMI de un equipo
especfico, que se reune cuando se aplica la directiva. Podemos ver
informacin del usuario con esta herramienta slo si el usuario ha
iniciado sesin en el sistema. Adems, veremos slo aqullas directivas
que se hayan procesado en el sistema.Ambos modos tienen ventajas.
La principal de Planning es la generacin de informes basados en los
valores que sern procesados antes de serlo. Permite la simulacin de
comportamientos y solucionar problemas antes de aplicar las
directivas en produccin. En cuanto a Logging, la principal ventaja
es la exactitud, ya que el informe est basado en lo qu realmente se
ha procesado.
PowerShell y las GPOPosted on21/12/2011Con Active Directory
desplegado en nuestra entorno deberamos ser capaces de controlar la
seguridad, administracin y el acceso a los recursos desde una
ubicacin centralizada. Y adems administrar y controlar los
escritorios!Cmo hemos ido viendo en multitud de ocasiones, AD tiene
una herramienta Group Policy (Directiva de grupo), para centralizar
los escritorios. Con ella podemos administrar virtualmente todo en
los sistemas de nuestro entorno, desde el fondo del escritorio
hasta qu aplicaciones pueden ejecutarse. Incluyendo no slo los
escritorios cliente sino tambin los servidores.Directiva de grupo
nos permite obligar el cumplimiento de nuestras polticas,
implementar cualquier configuracin de seguridad que queramos e,
implementar un entorno estndar a travs de todo el Directorio
Activo.Con un entorno estndar proporcionamos una base consistente y
adems aligerar las llamadas de soporte al departamento. Antes de
ver como podemos trabajar con Poweshell y GP, repasemos algunas
cuestiones bsicas:Conocer sobre:DESCRIPCIN
GPMCConsola administracin DirectivasInterfaz principal, aqu
creamos los GPOs. Definimos a qu se aplicarn los enlaces creados.
Disponemos de tres mbitos o alcances: Sites, Dominios y OUs.
GPOObjeto de Directiva de GrupoObjeto que contiene la
configuracin que queremos aplicar a usuarios y/o equipos. Se
enlazan a OUs.
Enlacede Directiva de GrupoEnlaza un GPO a la parte del entorno
AD al qu queremos que se le aplique. Conocido como mbito o alcance:
Sites, Dominios y OUs.
ArchivoADMXArchivo de plantilla administrativa, define la
ubicacin de la configuracin y valores en el sistema local, y crea
el interfaz que usamos para modificar dicha configuracin/valores
desde el Editor de Directivas de grupo, que no es ms que un GUI de
administracin de las mismas.
Preferenciasde Directiva de GrupoProporciona alternativas para
trabajar con imgenes en toda la organizacin y as administrar
configuraciones que no son fciles desde la Directiva de Grupo. Esta
configuracin, inicialmente establecida por el administrador,
refleja un estado del sistema predeterminado y que no es
obligatorio.
RSoPConjunto de configuraciones de directiva aplicadas despus
del completo proceso de las mismas. Puede ser una combinacin de
muchos niveles de Directivas.
En cuanto a los mbitos o alcance hemos de tener en cuenta qu:El
mbito ms grande es el SITE y aqu se ven afectados todos los
dominios y objetos que contenga.En el DOMINIO se vern afectados
todos los objetos contenidos en l.En las OU, todos los objetos que
contengan, as como los sucesivos anidamientos de OUs y sus
objetos.El uso de unos u otros se determina por las necesidades, si
bien hay algunas recomendaciones al efecto:Configuracin de
seguridad de red o IPSec, a nivel de SITE.Contraseas y resto de
valores de seguridad, DOMINIO.Aplicacin de Directivas de Grupo en
las OU, es lo que ms recomiendan, proporcionan facilidad de
administracin y localizacin de nuestras Directivas.Administrar las
Directivas de GrupoComo otras herramientas, powershell ha dedicado
un mdulo para almacenar los cmdlets que podemos usar en la
administracin de Directivas de Grupo. ste mdulo no est disponible
en todos los sistemas en los que Powershell est instalado. Slo se
encuentra en DCs, servidores miembros con GPMC instalada o Windows
7 con RSAT instaladas.Para importar el mdulo usamos el
comando:Import-Module grouppolicyAunque si lo intentamos en un
equipo que no cumpla los requisitos recibiremos un mensajito
Pero sigamos en uno que s,
Una vez importado podemos listar los cmdlets
disponibles,Get-Command module grouppolicy
El comandoGet-GPO Allnos permite ver las GPO del
dominio.Establece un valor de Preferencia. Igual que el anterior,
hay que conocer la ubicacin en el Registro.CmdletQu hace:
Get-GPOLista las GPO en el Dominio, podemos listar una
especficamente o todas.
New-GPOCrea una nueva GPO en el dominio.
New-GPLinkCrea un nuevo vnculo de GPO hacia una GPO existente en
el dominio.
Set-GPRegistryValueEstablece un valor de directiva. Para que
este cmdlet sea efectivo en la GPO, hay que conocer la ubicacin de
la misma en el Registro.
Set-GPPrefRegistryValueEstablece un valor de Preferencia. Hay
que conocer la ubicacin en el Registro.
Ejemplos: Get-GPO All
Podemos ver la configuracin de una en particular, por ejemplo
listamos las que hay en SySVol
Y con su GUID
Y con su nombre
Posted inDirectivas,Powershell,Scripting,Windows 2008
R2Problemas con Directivas de Grupo?Posted on05/09/2011Cuando se
trabaja con Directivas de Grupo podemos tener algunos problemas en
su aplicacin, as qu hay que usar algunas herramientas para buscar
solucionarlos y no perder nuestro tiempo de administracin.Las
herramientas integradas se enfocan en predecir el cmo se aplican y
el cmo buscar el resultado de esa aplicacin.Group Policy Modeling
Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y
el elemento de MMC: RSOP.Por ltimo, estas herramientas nos
permitirn ver el orden de precedencia en accin. Podemos ver qu
directivas se aplicaron sobre el sistema y cules son las qu
vencieron.Adems, ya que las directivas se basan en la red, todas
las herramientas que utilizamos para comprobarla desde el ping a la
resolucin de nombres- son vlidas para solucionar problemas de
directiva.GPMW Modelado de directivas de grupoGPMW nos permite
previsualizar nuestras directivas de grupo. La herramienta modela
los resultados de las directivas antes de implementarlas. Esta
herramienta construye informes basados en lo qu est configurado a
nivel de sitios, dominios y OUs, tanto para equipos como para
usuarios. Basado en las reglas de aplicacin de directivas, la
herramienta nos proporciona una instantnea de las directivas que se
aplicarn. Tambin nos muestra cmo afectar cualquier filtro WMI o de
seguridad.GPMW se encuentra en la consola GPMC. Es importante
recalcar que GPMW evala slo un RSOP terico basado en todas las
directivas y filtros establecidos va Active Directory.Para crear un
modelado:1. Clic derecho en Modelado de directivas de grupo, clic
en Asistente para modelado de directivas de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el Controlador de dominio que queremos utilizar
para procesar la solicitud de modelado y siguiente.
4. Escoger que queremos modelar. Podemos elegir un usuario o
equipo individual, o un mbito (dominio u OU) para cualquiera de
ellos (equipo o usuario). Una combinacin de lo anterior.
5. Tambin podemos simular una red lenta o un bucle invertido en
la pgina de dilogo de simulacin.
6. Elegiremos la ruta de AD alternativo u otras ubicaciones a
simular. (Esta pgina podra no mostrarse dependiendo de la eleccin
en el paso 3)7. Simular los cambios en el grupo de seguridad del
usuario.
8. O, simular los cambios en el grupo de seguridad del
equipo.
9. Los filtros para usuarios.
10. Los filtros para equipo.
11. Vemos un resumen y siguiente para la creacin del
modelado.
12. Pulsamos en finalizar y obtenemos el informe, aparece bajo
el nodo de modelado de directivas de grupo.
El informe queda bajo el nodo de Modelado.
GPRW o Asistente de Resultados de Directivas de GrupoHay algunas
herramientas que nos permiten obtener el RSOP. Una de ellas se
encuentra en la consola, GPMC, el asistente de Resultados de
directiva de grupo.Una vez localizada en el rbol de la izquierda:1.
Clic derecho y seleccionamos Asistente de resultado de directivas
de grupo.
2. Siguiente en la ventana de bienvenida.
3. Seleccionamos el equipo, local o remoto. Siguiente.
4. Seleccionamos la cuenta de usuario para el que queremos el
RSOP, Siguiente.
5. Ventana resumen, siguiente.
6. Pulsamos en finalizar para volver a GPMC y ver el
informe.
GPResult.exeHerramienta desde l smbolo del sistema, nos permite
ver los resultados de directiva de grupo tanto para el sistema
local y usuario actual, como equipos remotos y otros usuarios. Como
otros comandos, dispone de commutadores y parmetros que
proporcionan informacin adicional. Pueden entubarse los resultados
hacia un archivo de texto y utilizar el comando en archivos de
lotes y/o scripts.
RSOP, elemento de MMC, conjunto resultante de directivas.Slo
hemos de abrir la MMC y aadirlo. Tambin podemos iniciarlo desde el
elemento Usuarios y equipos de ACtive Directory.
Esta herramienta es similar al asistente de resultados de
directiva, pero con la ventaja de que puede mostrar los resultados
de mltiples directivas. Disponible en dos modos, Planning i Logging
modes. La diferencia principal entre ellos es el cmo proporcionamos
el RSOP. Planning mode es similar a GPMW, simula el proceso de
directivas, mientras Logging mode consulta la BD WMI de un equipo
especfico, que se reune cuando se aplica la directiva. Podemos ver
informacin del usuario con esta herramienta slo si el usuario ha
iniciado sesin en el sistema. Adems, veremos slo aqullas directivas
que se hayan procesado en el sistema.Ambos modos tienen ventajas.
La principal de Planning es la generacin de informes basados en los
valores que sern procesados antes de serlo. Permite la simulacin de
comportamientos y solucionar problemas antes de aplicar las
directivas en produccin. En cuanto a Logging, la principal ventaja
es la exactitud, ya que el informe est basado en lo qu realmente se
ha procesado.